Почему в моих логах apache появляются внешние домены?


10

У меня есть несколько записей в журнале, которые относятся к внешнему домену - в основном, русской поисковой системе ( http://www.yandex.ru/ )

Как они появляются в моих журналах?

82.146.58.53 - - [10/Jun/2010:00:49:11 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.5.22 Version/10.50"`
82.146.59.209 - - [10/Jun/2010:01:54:10 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.2.2) Gecko/20100316 Firefox/3.6.2"`
82.146.41.7 - - [10/Jun/2010:02:55:34 +0000] "GET http://www.yandex.ru/ HTTP/1.0" 200 8859 "http://www.yandex.ru/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.1.249.1045 Safari/532.5"
125.45.109.166 - - [09/Jun/2010:11:04:17 +0000] "GET http://proxyjudge1.proxyfire.net/fastenv HTTP/1.1" 404 1010 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

Ответы:


8

Злоумышленники ищут взломщиков: некоторые (плохо настроенные) обратные прокси подключаются к любому домену, а не к домену, который они должны обслуживать. Они пытаются использовать ваш сервер для подключения и злоупотребления другим сайтом.


Поэтому записи в журналах не вызывают беспокойства - если только я не выступаю в роли прокси.
Йохан

Это правильно. Шансы на то, что вы будете публичным прокси-сервером без осознания, весьма невелики, особенно если вы обслуживаете свой веб-сайт напрямую со своего сервера без каких-либо прокси.
Эндрю Айлетт

Глупый вопрос: почему код возврата равен 200, если Apache фактически не пересылает запрос?
Фрэнк Хопкинс

И чтобы ответить на мой собственный вопрос: может случиться так, что apache настроен с перехватом всех, таким образом любой домен, не сопоставленный, будет обслуживаться этой страницей по умолчанию, что приведет к коду ответа 200 (вместе с содержимым того, что настроено) как эта страница по умолчанию
Фрэнк Хопкинс

3

Любой может подключиться к веб-серверу и запросить любой URL-адрес по своему усмотрению с любого хоста. Затем он появится в вашем журнале. Пример,

$ nc www.whateveryourdomainishere.com 80
GET / HTTP/1.1
host: www.asdfasdfasdfsdafsdf.com

Вы получите запись в своем журнале Apache для www.asdfasdfasdfsdafsdf.com


Я этого не знал. Я только что попробовал ваш пример, и я получил 82.69.xx - - [10 / Jun / 2010: 09: 45: 24 +0000] "GET / HTTP / 1.1" 400 350 "-" "-" Нет упоминания asdfxxxetc Но если это как - то почему?
Йохан

Наверное, видят, могут ли они перенаправить запрос с вашего сайта, чтобы скрыть свои следы, я думаю. Посмотрите, сможете ли вы выступить в роли прокси или исследовать эксплойт.
Барт Сильверстрим

Вам нужно ввести «GET example.com HTTP / 1.1» в качестве запроса для инициации прокси, попробуйте это, и вы (вероятно) увидите это в журнале.
Vatine
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.